Cy-SIRT の伊藤です。 2016 年 3 月 28 日に Shibuya.XSS tech Talk #7 がサイボウズで開催されました。
今日は各セッション内容について簡単にご紹介するとともに、講演者の方の資料への URL を残します。
mala さん - 超絶技巧 CSRF
2001 年当時に公開された Cross Protcol Scripting Attack と呼ばれる攻撃手法によるリスクが、現在は XHR Level2 でプレフライトのチェック無しに multipart-formdata を経由でバイナリデータを送れるようになったことで増加しているとことを紹介いただきました。
Masato Kinugawa さん - PATHでXSSする技術
クエリ部と同様にパスでもユーザ入力を受け付けているアプリの場合、アプリケーションの取り扱い次第では XSS が起こりうることを紹介いただきました。ブラウザごとの挙動の差異を分かり易く解説いただいたので、折を見て参照したいです。
hasegawayosuke さん - Electron のはなし
http://utf-8.jp/public/2016/0328/shibuyaxss.pdf
file プロトコルにおける origin はディレクトリ関係なく全ファイルが同一オリジンであることを活用し、Electron アプリに XSS があった場合、webview タグを使わずに、ファイルサーバに置いた罠コンテンツを利用することで任意コード実行が可能であることを紹介いただきました。
やぎはしゅ さん - http://こいつの:話@shibuya.xss.moe/
www.slideshare.net
URI の中に Basic 認証の ID/PASS を記載することで入力ダイアログを表示せずに認証するといった際に使われる RFC 3986 で定義された仕様について、各ブラウザの現在の挙動と攻撃への悪用可能性について紹介いただきました。
llamakko さん - Firefox の話 - 脆弱性発見から報奨金受け取りまで
Firefox の脆弱性を発見するご自身の経験を元に、脆弱性の探し方と心構えを紹介いただきました。診断対象の機能や不具合情報に対する引き出しが少ないと、探すことができる脆弱性が限られてしまうため、セキュリティアドバイザリなど、情報収集をしっかり行うのが重要と言う点に共感しました。
どのセッションも大変勉強になりました。講演者の皆様、貴重なプレゼンをありがとうございました。
今後もサイボウズでは、開発系のイベント開催のお手伝いをしていく予定です。開発系イベント主催者の皆様、ぜひ、お声がけください。